#セキュリティ #脆弱性 #Ubiquiti

Ubiquiti製カメラに潜む脆弱性—プライバシーとセキュリティの危険性

脆弱性が露見したUbiquiti製品の実態

近年、アメリカのサイバーセキュリティ企業チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）から、Ubiquiti社が製造したWi-Fi接続カメラ「Ubiquiti G4 Instant」およびそのアプリケーション関連デバイス「CloudKey+」に重大な脆弱性が報告されました。この調査によると、なんと2万台以上のこれらのデバイスがインターネット上で無防備に公開されている可能性があります。データが露出している状態は、悪意ある攻撃者による技術的攻撃や、ソーシャルエンジニアリング攻撃に悪用される危険性を孕んでいます。

攻撃対象評価の結果

チェック・ポイントのリサーチ部門である「チェック・ポイント・リサーチ（CPR）」は、Ubiquitiカメラのネットワークインターフェースで、ポート10001＆7004に関連する2つの専用プロセスが公開されていることを発見。この時、両ポートともにUDPプロトコルを利用しています。この脆弱性により、デバイスが持つ様々な情報（プラットフォーム名やソフトウェアのバージョン、IPアドレスなど）が公開される結果となっており、侵害のリスクが非常に高まっています。

理由となる過去の警告

この脅威に関しては、2019年にもユーザーがTwitterで警告を発しており、その後もRapid7の調査で50万台以上のデバイスが同属性の攻撃に対して脆弱であることが確認されました。その後、Ubiquiti社は問題の修正を表明しましたが、現在でも約2万台がまだ脆弱なままです。これは、一般的なデスクトップやサーバー製品のみならず、IoT機器のセキュリティがいかに難しいかを示しています。

利用者の無自覚なリスク

CPRの調査で判明したのは、ユーザーが無意識にデータを公開している大規模な問題です。具体的には、カメラが応答する際に「ping」メッセージを送信してくるため、カメラがどのようなデータを持っているのかが外部に流出してしまうという現象が起きています。これは、単に注意を怠った結果です。これには次のような重要な問題が含まれます。

- 認証の欠如：デバイスが応答する際に、認証が欠けていること
- 増幅攻撃の可能性：カメラからの応答データが、送信されたパケットよりも極めて大きいこと

プライバシーへの影響

さらなる懸念として、漏えいされた情報は多様で、個人に関する情報とも結びついています。例えば、デバイスの識別情報からは、所有者名や住所といった機密情報が得られ、悪意のある攻撃者による標的型攻撃に悪用されかねません。デバイスは「HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD」といった警告メッセージを表示しており、脆弱性の存在を示しています。

ユーザーによる防御策

この脆弱性から身を守るためにユーザーが取るべき対策としては、以下の点が挙げられます。

1. 最新のファームウェアを確認：カメラが最新のソフトウェアを利用しているかどうか確認し、パッチがあれば迅速に適用する。
2. サイバー衛生ルーティーン確立：日常的なサイバー衛生ルーティーンにおいて、すべてのIoTデバイスに対して定期的にチェックを行う。
3. 自動アップデート機能の確認：自動アップデート機能が有効になっていることを確認し、購入時にサポートを受ける。
4. 個人情報の公開を避ける：デバイスをインターネット上に公開する場合には、自身の個人情報をできるだけ隠す。

このように、IoT機器を使用する際には、そのセキュリティ状況に注意を払う必要が不可欠です。特に、日常生活でのテクノロジー依存度が高まる昨今、この問題は一層重要視されています。

結論

この事例は、時に小さな見落としが長期にわたる影響を及ぼすことを示唆しています。IoT機器の脆弱性に対する理解を深め、適切な対策を講じることが、私たちのセキュリティを守るための第一歩となるのです。サイバーセキュリティ業界にとって、警戒を怠らず、将来のリスクを未然に防ぎながら、技術の進歩を支えていく姿勢が求められています。